CISO precisa estar no conselho de organizações, defende consultor de cibersegurança do BID

Ser alvo de um ciberataque é uma realidade que, virtualmente, todas as organizações enfrentarão. Nesse contexto, é fundamental que os CISOs, profissionais responsáveis pela proteção das companhias, tenham um lugar garantido nos conselhos das empresas para auxiliá-las nesse desafio.

É isso que defende Julio Signorini, consultor de cibersegurança do Banco Interamericano de Desenvolvimento (BID) e profissional com mais de 15 anos de experiência em cargos como CIO, CISO e gestor estratégico, durante o IT Forum Na Mata. “Precisamos de representantes de cibersegurança no board. O CISO tem que estar lá, participando das tomadas de decisão”, afirmou.

A realidade se impõe, reforçou Signorini, também porque o CISO é, normalmente, o primeiro a ser questionado sobre incidentes dentro das empresas, mesmo que o erro que originou o episódio seja humano.

Leia mais: “CISO moderno não só protege, mas capacita equipes”, defende Paula Yara, CISO do Grupo Ivy

Ao abordar a importância da governança, ressaltou que ferramentas, por si só, não garantem proteção. “Se a casa não estiver organizada, nenhuma tecnologia faz diferença”, disse. Para ele, a tríade pessoas, processos e estratégia deve vir antes de qualquer investimento tecnológico.

Outro ponto destacado foi a definição clara de papéis e responsabilidades dentro das organizações. Segundo o especialista, é essencial que todos saibam o que fazer em um momento de crise – do time técnico às áreas jurídica, de comunicação e de proteção de dados – para que a atuação seja coordenada e eficiente.

A necessidade de documentação viva e testada também foi enfatizada. “Tudo o que for escrito precisa ser colocado em prática”, alertou. Para Signorini, planos de backup, políticas e frameworks devem ser testados e atualizados constantemente. “O que está no papel hoje pode não servir amanhã. É preciso revisar e adaptar sempre”, observou.

Regulação e políticas públicas

Além dos desafios técnicos e organizacionais, Signorini tratou da importância da regulação e das políticas públicas voltadas à segurança cibernética. Citou o avanço do governo federal com a Estratégia Nacional de Cibersegurança e também a discussão do Marco Legal da Cibersegurança (PL 4752), que tem o objetivo de garantir a prevenção, a redução de danos e a resposta a incidentes e ataques digitais.

“O projeto de lei vai reforçar a necessidade de reportar incidentes e apresentar planos de resposta”, explicou. O consultor ressaltou ainda que a iniciativa pode ajudar o País na superação de diferentes níveis de maturidade e infraestrutura de cibersegurança, o que exige um esforço conjunto de estados, municípios e União. “O Brasil é plural”, resumiu.

No setor público, destacou também iniciativas voltadas à padronização de identidade e acesso, como o uso do Gov.br e a expansão dos sistemas eletrônicos de informação (SEI) para municípios, além de exercícios nacionais de resposta a incidentes. Para Signorini, a mensagem central é clara: só há segurança efetiva quando há preparo, organização e prática constante. “É fundamental ter uma casa organizada para responder a qualquer tipo de problema”, concluiu.